Mortanas Yapay Zeka Teknolojileri’nin Siber Tehdit İstihbaratı (CTI) birimi, 8 Mayıs 2026 sabahı saat 10:01 itibarıyla Türkiye’de aktif bir siber saldırı kampanyası tespit etti. Saldırının yürütüldüğü platform, ülkenin tanınmış dijital reklam ağlarından reklamstore.com oldu.

Olay, Mortanas Medya bünyesindeki haber platformu medyagazetesi.com için reklam envanteri incelemek üzere reklamstore.com’a girilmesi sırasında ortaya çıktı. Site, ziyaretçilere ilk bakışta bir Cloudflare güvenlik doğrulaması gibi görünen ancak tamamen sahte bir ekran sunuyor; kullanıcıdan klavye üzerinde “Win + R, Ctrl + V, Enter” tuş kombinasyonunu uygulaması isteniyordu. Bu adımlar, görünüşte rutin bir doğrulama gibi sunulmuş olsa da arka planda kullanıcının bilgisayarında doğrudan PowerShell komutu çalıştıran bir saldırı zincirini tetikliyor.

ClickFix Nedir?

Saldırı yöntemi, küresel siber güvenlik camiasında “ClickFix” olarak biliniyor. Microsoft’un Ağustos 2025’te yayımladığı tehdit istihbaratı raporuna göre, izlenen siber saldırıların yüzde 47’si bu yöntemle başlıyor. ESET’in 2025 yılı ilk yarı tehdit raporu ise ClickFix saldırılarındaki artışın bir önceki yıla göre yüzde 517’ye ulaştığını ortaya koyuyor.

Yöntemin etkili olmasının temel nedeni, geleneksel siber güvenlik kontrollerini doğrudan atlatan tasarımı: zararlı kod, sistemin güvenlik duvarı ya da antivirüs yazılımı tarafından indirilen bir dosya olarak değil, kullanıcının kendi elleriyle Çalıştır penceresine yapıştırılan ve PowerShell üzerinden bellekte yürütülen bir komut olarak çalışıyor. Bu durum, dosya tabanlı tarama yapan klasik antivirüs çözümlerinin saldırıyı tespit edememesi anlamına geliyor.

Teknik Analiz: PowerShell Komutu Nasıl Çalışıyor?

Mortanas YZ CTI ekibinin tersine mühendislik analizi, kullanıcının panosuna sessizce kopyalanan komutun sıradan bir betik olmadığını ortaya koydu. Komut, gerçek IP adresini gizlemek için string concatenation (dize birleştirme) yöntemini kullanıyor; antivirüs imza tespitlerini atlatmak için tasarlanmış obfuscation tekniklerini içeriyor.

Komutun çözümlenmiş hali, kullanıcının bilgisayarını 178.16.52.232 IP adresli komuta-kontrol (C2) sunucusuna bağlıyor; ardından bu sunucudan indirilen ikinci aşama PowerShell betiği belleğe yükleniyor ve doğrudan çalıştırılıyor. Hiçbir dosya diske yazılmadığı için adli analiz ve geleneksel uç nokta koruması ciddi şekilde zorlaşıyor.

Saldırının kullandığı teknik, MITRE ATT&CK çerçevesinde 12 farklı taktik ve teknik altında haritalandırılabiliyor; bunların başında T1059.001 (PowerShell), T1204.002 (User Execution), T1115 (Clipboard Hijacking) ve T1555.003 (Credentials from Web Browsers) geliyor.

Saldırının Hedefi: Kimlik Bilgileri ve Oturum Çerezleri

Saldırının başarıyla tamamlanması durumunda, kurban sistemden çıkarılması hedeflenen veri seti oldukça geniş kapsamlı:

• Tarayıcılarda kayıtlı kullanıcı adları ve şifreler
• Aktif oturum çerezleri (session cookies)
• Kripto cüzdan dosyaları ve seed phrase’ler
• Outlook, Steam ve diğer uygulama kimlik bilgileri
• Sistem bilgileri ve ekran görüntüleri
• Kurumsal SSO ve VPN token’ları

Olayın en kritik boyutu, çalınan oturum çerezlerinin iki faktörlü kimlik doğrulamayı (2FA/MFA) işlevsiz kılma kapasitesi. Saldırgan, aktif oturum cookie’sini ele geçirdiğinde, kurbanın şifresini bilmesine ya da MFA kodunu girmesine gerek kalmadan hesaba erişebiliyor. Bu durum, sadece şifre değiştirmenin yetersiz kaldığı; tüm aktif oturumların sonlandırılması gereken bir tehdit profili oluşturuyor.

Türkiye’de Hedefli Kampanya Göstergeleri

Saldırının teknik karakteristikleri; Türkçe yerelleştirilmiş arayüz, Türkiye’de yaygın olarak kullanılan bir reklam platformu üzerinden dağıtım ve çalışma saatleriyle uyumlu zamanlama, kampanyanın açıkça Türk kullanıcılarını hedeflediğine işaret ediyor.

Komuta-kontrol sunucusu olarak kullanılan 178.16.52.232 IP adresinin, RIPE NCC bölgesindeki bir hosting sağlayıcı üzerinden kısa süreli kiralanmış bir VPS olduğu değerlendiriliyor. Bu altyapı modeli, küresel ClickFix kampanyalarının tipik özelliği olan “Malware-as-a-Service” (MaaS) operasyonlarıyla örtüşüyor.

reklamstore.com Yönetimi Bilgilendirildi mi?

Mortanas YZ Teknolojileri, tespit edilen güvenlik ihlalini koordineli ifşa (coordinated disclosure) ilkeleri çerçevesinde reklamstore.com yönetimine teknik raporla iletmek üzere harekete geçti. Aynı zamanda Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) de ihbar bildirimi yapıldığı öğrenildi.

Reklamstore.com’un açıklaması bekleniyor. Şu an itibarıyla sitenin doğrudan saldırgan altyapısının parçası olduğuna dair kesin bir bulgu bulunmuyor; ihtimal dahilindeki senaryo, sitenin üçüncü taraf bir reklam betiği üzerinden kompromize olmuş olması ya da bir XSS açığı aracılığıyla zararlı JavaScript kodunun enjekte edilmiş olması.

Kurumsal Önlemler

Kurumsal güvenlik liderlerinin, ClickFix tipi saldırılara karşı sadece geleneksel antivirüs yazılımına güvenmemesi gerekiyor. Mortanas YZ Teknolojileri’nin önerdiği savunma katmanları arasında PowerShell Constrained Language Mode’un grup politikaları üzerinden etkinleştirilmesi, AMSI (Antimalware Scan Interface) entegrasyonunun aktif tutulması, davranış tabanlı EDR çözümlerinin dağıtımı, çıkış trafiğinin proxy üzerinden yönlendirilerek 178.16.52.0/24 bloğunun engellenmesi ve çalışan farkındalık eğitimleri yer alıyor.

Phishing-resistant MFA çözümlerine — özellikle FIDO2 ve WebAuthn tabanlı donanım anahtarlarına — geçiş, oturum çerezi hırsızlığını anlamsız kılan en güçlü teknik kontrol olarak öne çıkıyor.

Sonuç

ClickFix saldırılarının küresel ölçekte hızla yaygınlaşması ve Türkiye’de bu denli görünür bir platform üzerinde aktif olarak gözlemlenmesi, dijital ekosistemin tüm aktörleri için bir uyarı niteliğinde. Reklam ağları, içerik dağıtım şebekeleri ve üçüncü taraf JavaScript bileşenleri, modern saldırganların ilk hedefi haline gelmiş durumda.

Mortanas Yapay Zeka Teknolojileri, vakaya ilişkin teknik bulguları içeren 8 sayfalık tehdit istihbaratı raporunu kurumsal paydaşlarla paylaşmaya devam ediyor. Olayın gelişimi medyagazetesi.com tarafından takip edilmekte; reklamstore.com yönetiminden gelecek açıklama bu sayfada yayımlanacaktır.